Mis à jour le 26 avril 2026 · 3ᵉ PASS Omniscient consécutif (22/04 + 25/04 fuzz + 25/04 pause)

Sécurité

La sécurité de vos actifs est notre priorité absolue. Tous les sont publics, vérifiables sur , et audités en continu.

Contrats audités

309 109

Interactions testées

Findings traités

100 %

Taux de réussite

Protections actives

Anti-glissement

Tous les échanges imposent un minimum de sortie () calculé hors-chaîne, empêchant toute manipulation de prix.

Anti-retrait abusif

Les retraits de liquidité sont limités à 25 % maximum par 24 heures. Les jetons LP sont non-transférables ().

Anti-MEV

Protection complète contre les attaques sandwich : obligatoire, délai d’expiration sur chaque transaction, restriction administrateur.

Anti-emprunt éclair

Le pouvoir de vote utilise des points de contrôle historiques (). Impossible de gonfler son vote temporairement.

Anti-condition de course

La prévente vérifie que le palier n'a pas changé pendant la transaction. Limites par palier isolées.

Garde de réentrance

Toutes les fonctions critiques utilisent le garde () contre les attaques de réentrance.

Érosion temporelle veKAL

Le pouvoir de vote décroît linéairement jusqu’à expiration (modèle veCRV). Calcul totalSupply en O(semaines).

Disjoncteur de sécurité

Le utilise un tampon circulaire O(1) pour surveiller les événements anormaux et déclencher une pause automatique.

Historique des audits

Audit pause individuelle KalPool — Omniscient Security Labs

25 avril 2026PASS — GO redéploiement 3 mai

Audit dédié à l’ajout des fonctions de pause individuelle sur KalPool (pauseMyStrategy / liftMyPause) en parité avec l’arrêt d’urgence du mode Solo. Le design retenu — un drapeau de préférence en lecture, sans aucun transfert de valeur — est validé par Omniscient comme la seule approche sécurisée pour un pool mutualisé : la valeur de la part collective reste indivisible en cours de cycle, et le robot d’exécution lit l’état de pause pour réduire l’exposition de l’utilisateur sur les prochaines ouvertures.

Cohérence sémantique avec KalSoloPool — drapeau de préférence en lecture, 0 transfert de valeur, comptabilité préservée : PASS

Aucun ajout de modificateur global requis sur les nouvelles fonctions — préférence utilisateur consultable même en pause administrateur (UX préservée) : PASS

Risque de spam (griefing) non exploitable — coût du gaz dissuasif sur , l’attaquant ne brûle que son propre gaz : PASS

Bytecode runtime mesuré indépendamment à 24 158 octets — plafond EIP-170 à 24 576, marge résiduelle de 418 octets confirmée

95 tests Hardhat KalPool verts (89 hérités + 6 nouveaux dédiés à la pause individuelle), F-OMN-286-01 toujours bloqué (bypass de pause globale impossible)

Étape suivante — redéploiement des 5 KalPool sur le 3 mai 2026 avec les fonctions emergencyExitMyPosition, pauseMyStrategy et liftMyPause actives

Campagne de fuzzing KalSoloPool + cohérence arrêt utilisateur

25 avril 2026300 000 transitions — 0 violation

Campagne de industriel Forge exécutée sur KalSoloPool dans la foulée du déploiement des 5 instances . En parallèle, travail de cohérence pour aligner le parcours utilisateur entre les modes écosystème (KalPool) et solo (KalSoloPool) : la fonction d’arrêt individuel existait en Solo mais pas côté écosystème, un trou de cohérence comblé avant la relecture Omniscient en mission unique et le redéploiement Sepolia des 5 stratégies.

KalSoloPool — campagne Forge : 6 s × 50 000 transitions (300 000 au total), 0 revert, 0 violation

KalPool — fonction emergencyExitMyPosition() ajoutée (parité fonctionnelle avec KalSoloPool.emergencyStopMyPosition)

Tests automatiques Hardhat — 4 cas couverts : nominal, contrat en pause (bypass volontaire), aucune position, liquidité insuffisante

Frontend — correction d’un défaut d’instanciation du signer ethers (rétablit dépôts et arrêts en Mode Solo)

Étape suivante — relecture Omniscient en mission unique puis redéploiement des 5 KalPool sur

Retest final — Omniscient Security Labs

22 avril 2026PASS — bloquants techniques levés

Retest indépendant des étapes critiques pré-mainnet par Omniscient Security Labs. Validation finale couvrant la tokenomique de la prévente, le batch atomique mainnet (), le mode user-choice KalSoloPool et la stabilité de la chaîne d’intégration. Politique d’audit retenue pour le mainnet : Omniscient en mission unique.

ÉTAPE 4.22 — Plafond prévente 500 000 KAL (5 % de l’offre) cohérent avec les 10 paliers : PASS

ÉTAPE 4.23 — Vesting Alpha+Beta (T0→T+240) sans modification de KalToken.sol via batch : PASS

ÉTAPE 4.24 — KalSoloPool : 5 instances vérifiées sur (mode user-choice) : PASS

Chaîne d’intégration Hardhat alignée sur evmVersion cancun : compilations stables, 1 109 tests verts

Audit industriel Tier-1 — Outils CertiK-Level

03 avril 20268 000 attaques fuzzing — 0 faille

Déploiement des outils d'audit utilisés par les firmes de sécurité Tier-1 (CertiK, Trail of Bits) : analyse statique + industriel Forge avec 8 000 transactions aléatoires sur les contrats critiques.

Analyse statique /Forge : 0 vulnérabilité High, Medium ou Low détectée — 4 warnings cosmétiques (Info)

Fuzzing KalPresaleV2 (3 000 runs) : achats aléatoires $0-$10M, tracking cumulatif, rejet au-delà des limites — 0 brisé

Fuzzing VeKAL (5 000 runs) : pouvoir de vote, compteur global, retrait avant expiration, futur, cycle complet — 0 brisé

Note : v0.10.0 incompatible avec (bug connu) — analyse complétée via forge inspect

Total combiné : 9 109 interactions testées (1 109 Hardhat + 8 000 ) — 0 faille critique

Audit externe — Omniscient Security Labs

02 avril 20263 rounds — 0 finding résiduel

Audit indépendant en 3 rounds couvrant les 37 contrats . Analyse approfondie de la tokenomie, gouvernance , et distribution des frais.

: érosion temporelle du pouvoir de vote implémentée (modèle )

: totalSupply() optimisé de O(N) à O(semaines)

KalYieldDiversifier : comptabilité fantôme corrigée

KalCapitalManager : refactorisation rebalance en appels internes

: jetons rendus non-transférables ()

KalCompounder : protection anti- ( obligatoire + deadline)

BuybackRecirculator : formule Uniswap V2 optimale, report des résidus

KalAutoVault : protection contre dépassement négatif (cap 50 %)

: historique optimisé en tampon circulaire O(1)

Audit périphérique — Gouvernance & Prévente

03 avril 20264 vulnérabilités corrigées

Audit ciblé sur les contrats KalGovernance, KalPresaleV2, KalBonding et KalRouter.

Détournement de vote par verrouillage éclair : points de contrôle + ()

Déni de service prévente : limites isolées par palier

Manipulation d’oracle par emprunt éclair : suppression de

Attaque sur : paramètre minKALOut hors-chaîne

Audit interne

14 mars 202612 vulnérabilités corrigées

Première analyse statique de 12 contrats couvrant le glissement, la réentrance, le contrôle d’accès et la manipulation d’oracle.

Glissement à 0 sur les échanges : minimum 5 % imposé

Dépassement négatif réserve dans reportLoss : vérification stricte

Devancement : restriction administrateur uniquement

Condition de course prévente : annulation si palier avance

Retrait abusif illimité : max 25 % par 24h

Centralisation administrateur : 2/3 prévu

stakeFor sans événement : événement émis + validation

Infrastructure de sécurité

Actif

(arrêt d’urgence) sur tous les contrats critiques

sur toutes les fonctions sensibles

Vérification d’adresses nulles sur constructeurs et configurateurs

Protection anti- complète ( + délai d’expiration hors-chaîne)

Points de contrôle temporels (anti-emprunt éclair)

Jetons non-transférables ()

avec tampon circulaire O(1)

Prime aux bugs communautaire active

Fuzzing industriel Forge — 300 000 transitions sur KalSoloPool (6 s × 50 000) + 8 000 runs sur KalPresaleV2 et VeKAL + 1 109 tests Hardhat

Prévu au réseau principal

multi-signatures 2/3

Connexion 24-48h aux fonctions d’urgence

Schéma de prévente conditionnel — palier de viabilité ≥ 75 000 (Phase 1 sold out, cap dur du contrat audité) entre le 15 juillet et le 31 août 2026, mainnet 14 septembre 2026 sur Base si le palier est atteint

Vesting Alpha + Beta sans modification de KalToken via batch atomique (Path 2)

Protections opérateur

Limiteur de fréquence — limite les retraits opérateur par période

24h — délai sur les changements administratifs

Anti-retrait abusif — max 25 % retrait par 24h

2/3 — multi-signatures requises (prévu)

Et si KalMydas ferme ?

Trois scénarios couvrent tous les cas où tu perdrais le contact avec l'équipe ou l'interface. Dans chacun, tes fonds restent accessibles sans nous.

L'interface web tombe

Panne app.kalmydas.com, nom de domaine perdu, hébergeur fermé.

Tes fonds sont dans les publics, pas sur notre serveur. Tu peux interagir directement avec les contrats via : tu connectes ton portefeuille, tu appelles la fonction de retrait de ta stratégie, tu récupères tes . L'interface web est un confort, pas une dépendance.

L'équipe disparaît

Plus de mise à jour, les bots arrêtent d'ouvrir des positions.

Les règles de sortie (stop-loss, take-profit) sont posées au moment où la position s'ouvre sur gTrade. Elles s'appliquent automatiquement, même si plus personne ne pilote les bots côté KalMydas. Pour récupérer ton dépôt, tu interagis avec le contrat intelligent de ta stratégie — ni notre interface, ni notre équipe ne sont un passage obligé.

gTrade lui-même tombe

Le protocole DeFi sous-jacent est compromis.

Ce risque existe avec tout protocole DeFi. gTrade (Gains Network) affiche plusieurs centaines de millions de dollars de valeur totale verrouillée et a traversé plusieurs audits externes. Notre confiance repose sur leur transparence et leur historique, pas sur une garantie. C'est le seul des trois scénarios où nos propres contrats ne peuvent pas te protéger : nous dépendons d'un tiers .

Dans les trois cas, aucune clé privée KalMydas ne contrôle tes fonds. Ça n'élimine pas les risques — ça les ramène à du risque de protocole, pas du risque de garde tierce.

Contrats vérifiés

Infrastructure

Contrat	Rôle	Adresse
Jeton KAL	Jeton ERC-20 principal	0x8217...227d
KalSwap (DEX)	AMM x*y=k, liquidité	0xF48A...B5E2
Récompenses LP	Verrouillage LP + KAL	0x817d...5900
Gestionnaire de réserves	Registre des 5 stratégies	0x0b7a...b81b
Récompenses de réserve	Bonus KAL auto sur stratégies	0x276e...962e
Courbe de liaison	Achat KAL à prix progressif	0xA752...D882
Routeur intelligent	Routage optimal USDC→KAL	0x382D...EEb
veKAL	Verrouillage KAL → pouvoir de vote	0x1238...8e46
Distributeur de frais	Distribution USDC hebdomadaire	0x7c94...3Be5
Prévente	10 paliers, LP auto-verrouillé	0xDc0C...DCbbe
Pass d'accès	NFT non transférable	0xF560...DF70
Gouvernance	Propositions & votes on-chain	0x7724...0F50
Parrainage	Système de parrainage multi-niveaux	0xCbed...63B4
Multiplicateur partage frais	Multiplicateur veKAL sur frais	0xEE0E...E9ED
Tableau de bord frais	Lecture agrégée des distributions	0x9351...0D28
Trésorerie RWA	Diversification hors-crypto	0x3208...FCA9
Airdrop	Distribution communautaire de KAL	0x79b4...EeDa
Auto-composition	Réinvestissement automatique des plus-values	0x1Ef2...fD28
Rachat & destruction	Rachat KAL + destruction déflationniste	0x34e1...9b26
Agent de liquidité	Gestion automatisée des réserves LP	0xea5a...E0EE

Réserves de stratégie

Pool	Adresse	Réseau	Lien
Stratégie Horizon	0x5702...0E53
Stratégie Valkyrie	0x96eb...cCB6
Stratégie Revolution	0xc8A2...55e8
Stratégie Treasury	0xA07a...66A1
Stratégie Orion	0x290d...c246

Stratégie Horizon

0x5702...0E53

Stratégie Valkyrie

0x96eb...cCB6

Stratégie Revolution

0xc8A2...55e8

Stratégie Treasury

0xA07a...66A1

Stratégie Orion

0x290d...c246

Stratégies Mode Solo (déployées le 25 avril 2026)

Pool	Adresse	Réseau	Lien
Solo Horizon	0x86f8...ADbf
Solo Valkyrie	0x8606...d0AA
Solo Revolution	0x7De8...36e2
Solo Treasury	0xCD4C...B571
Solo Orion	0x37D9...785a

Solo Horizon

0x86f8...ADbf

Solo Valkyrie

0x8606...d0AA

Solo Revolution

0x7De8...36e2

Solo Treasury

0xCD4C...B571

Solo Orion

0x37D9...785a

Prime aux Bugs Communautaire

Contact direct en message privé sur X ou Telegram. Les récompenses sont distribuées en jetons KAL.

CRITIQUE

5 000 — 10 000 KAL

Vol d’actifs, drainage de réserve, émission non autorisée

HAUTE

2 000 — 5 000 KAL

Contournement d’accès, élévation de privilèges

MOYENNE

500 — 2 000 KAL

Gel temporaire, erreur de calcul, déni de service

BASSE

100 — 500 KAL

Optimisation gas, bonne pratique, information

X @KalMydas Telegram @KalMydas

Les sont déployés sur (testnet). Le code source sera vérifié sur au lancement sur le réseau principal. La sécurité est un processus continu — nous recommandons de toujours vérifier les adresses de contrats avant toute interaction. Les résultats passés ne préjugent pas des résultats futurs.